Didacticiel sur Iptables, version 1.2.0

I. A propos de l'auteur

II. Exploration de ce document

III. Préalables

IV. Conventions utilisées dans ce document

V. Introduction
V-A. Motivations
V-B. Contenu
V-C. Termes spécifiques

VI. Rappel TCP/IP
VI-A. Couches TCP/IP
VI-B. Caractéristiques IP
VI-C. En-têtes IP
VI-D. Caractéristiques TCP
VI-E. En-têtes TCP
VI-F. Caractéristiques UDP
VI-G. En-têtes UDP
VI-H. Caractéristiques ICMP
VI-I. En-têtes ICMP
VI-I-1. Écho requête/réponse ICMP
VI-I-2. Destination Injoignable ICMP
VI-I-3. Coupure de source
VI-I-4. Redirection
VI-I-5. TTL égale 0
VI-I-6. Paramètre problème
VI-I-7. Horodatage requête/réponse
VI-I-8. Requête/réponse information
VI-J. Destination TCP/IP par routage
VI-K. Prochaine étape

VII. Introduction au filtrage IP
VII-A. Qu'est-ce qu'un filtre IP ?
VII-B. Termes et expressions du filtrage IP
VII-C. Comment configurer un filtre IP ?
VII-D. Au prochain chapitre

VIII. Introduction à la Traduction d'adresse Réseau
VIII-A. Comment le Nat est utilisé et termes et expressions de base
VIII-B. Divergences sur l'utilisation du NAT
VIII-C. Exemple d'une machine NAT en théorie
VIII-C-1. Ce qui est nécessaire pour une machine NAT
VIII-C-2. Emplacement des machines NAT
VIII-C-3. Comment placer les proxies ?
VIII-C-4. Étape finale pour votre machine NAT
VIII-C-5. Prochain chapitre

IX. Préparatifs
IX-A. Obtenir Iptables ?
IX-B. Configuration du noyau
IX-C. Configuration du domaine utilisateur
IX-C-1. Compilation des applications
IX-C-2. Installation sur Red Hat 7.1

X. Traversée des tables et des chaînes
X-A. Généralités
X-B. La table mangle
X-C. La table nat
X-D. La table filter

XI. La machine d'état
XI-A. Introduction
XI-B. Les entrées de conntrack
XI-C. États de l'espace utilisateur
XI-D. Connexions TCP
XI-E. Connexions UDP
XI-F. Connexions ICMP
XI-G. Connexions par défaut
XI-H. Protocoles complexes et traçage de connexion

XII. Sauvegarde et restauration des tables de règles importantes
XII-A. Considérations de vitesse
XII-B. Inconvénients avec restore
XII-C. iptables-save
XII-D. iptables-restore

XIII. Création d'une règle
XIII-A. Bases de la commande iptables
XIII-B. Les tables
XIII-C. Commandes

XIV. Correspondances
XIV-A. Correspondances génériques
XIV-B. Correspondances implicites
XIV-B-1. Correspondances TCP
XIV-B-2. Correspondances UDP
XIV-B-3. Correspondances ICMP
XIV-C. Correspondances explicites
XIV-C-1. Correspondance AH/ESP
XIV-C-2. Correspondance conntrack
XIV-C-3. Correspondance DSCP
XIV-C-4. Correspondance ECN
XIV-C-5. Correspondance Helper
XIV-C-6. Correspondance de plage IP
XIV-C-7. Correspondance Length
XIV-C-8. Correspondance Limit
XIV-C-9. Correspondance MAC
XIV-C-10. Correspondance mark
XIV-C-11. Correspondance multiport
XIV-C-12. Correspondance owner
XIV-C-13. Correspondance type de paquet
XIV-C-14. Correspondance Recent
XIV-C-15. Correspondance state
XIV-C-16. Correspondance TCPMSS
XIV-C-17. Correspondance TOS
XIV-C-18. Correspondance TTL
XIV-C-19. Correspondance unclean

XV. Iptables cibles et sauts
XV-A. Cible ACCEPT
XV-B. Cible CLASSIFY
XV-C. Cible DNAT
XV-D. Cible DROP
XV-E. Cible DSCP
XV-F. Cible ECN
XV-G. Options de la cible LOG
XV-H. Cible MARK
XV-I. Cible MASQUERADE
XV-J. Cible MIRROR
XV-K. Cible NETMAP
XV-L. Cible QUEUE
XV-M. Cible REDIRECT
XV-N. Cible REJECT
XV-O. Cible RETURN
XV-P. Cible SAME
XV-Q. Cible SNAT
XV-R. Cible TCPMSS
XV-S. Cible TOS
XV-T. Cible TTL
XV-U. Cible ULOG

XVI. Débogage des scripts
XVI-A. Déboguer, une nécessité
XVI-B. Débogage en Bash
XVI-C. Outils système pour le débogage
XVI-D. Débogage d'Iptables
XVI-E. Autres outils de débogage
XVI-E-1. Nmap
XVI-E-2. Nessus
XVI-F. Le chapitre suivant

XVII. Fichier rc.firewall
XVII-A. Exemple de rc.firewall
XVII-B. Explication du rc.firewall
XVII-B-1. Options de configuration
XVII-B-2. Chargement initial des modules supplémentaires
XVII-B-3. Réglage du proc
XVII-B-4. Déplacement des règles vers différentes chaînes
XVII-B-5. Mise en place des actions par défaut
XVII-B-6. Implémentation des chaînes utilisateur dans la table filtre
XVII-B-6-a. La chaîne bad_tcp_packets
XVII-B-6-b. La chaîne autorisée
XVII-B-6-c. La chaîne TCP
XVII-B-6-d. La chaîne UDP
XVII-B-6-e. La chaîne ICMP
XVII-B-7. Chaîne INPUT
XVII-B-8. Chaîne FORWARD
XVII-B-9. Chaîne OUTPUT
XVII-B-10. Chaîne PREROUTING de la table nat
XVII-B-11. Démarrage de SNAT et la chaîne POSTROUTING

XVIII. Exemples de scripts
XVIII-A. Structure du script rc.firewall.txt
XVIII-A-1. La structure
XVIII-B. rc.firewall.txt
XVIII-C. rc.DMZ.firewall.txt
XVIII-D. rc.DHCP.firewall.txt
XVIII-E. rc.UTIN.firewall.txt
XVIII-F. rc.test-iptables.txt
XVIII-G. rc.flush-iptables.txt
XVIII-H. Limit-match.txt
XVIII-I. Pid-owner.txt
XVIII-J. Recent-match.txt
XVIII-K. Sid-owner.txt
XVIII-L. Ttl-inc.txt
XVIII-M. Iptables-save

XIX. Interfaces utilisateur graphiques pour Iptables/netfilter
XIX-A. fwbuilder
XIX-B. Projet Turtle Firewall
XIX-C. Integrated Secure Communications System
XIX-D. IPMenu
XIX-E. Easy Firewall Generator
XIX-F. Partie suivante

XX. Explication détaillée des commandes spéciales
XX-A. Affichage de votre table de règles
XX-B. Mise à jour et vidange des tables

XXI. Problèmes et questions courants
XXI-A. Problèmes de chargement des modules
XXI-B. Paquets état NEW sans bit SYN placé
XXI-C. SYN/ACK et les paquets NEW
XXI-D. Fournisseurs d'accès Internet qui utilisent des adresses IP assignées
XXI-E. Laissez les requêtes DHCP traverser iptables
XXI-F. Problèmes avec le DCC de mIRC

XXII. Types ICMP

XXIII. Options TCP

XXIV. Autres ressources et liens

XXV. Remerciements

XXVI. History

XXVII. GNU Free Documentation License
XXVII-A. 0. PREAMBLE
XXVII-B. 1. APPLICABILITY AND DEFINITIONS
XXVII-C. 2. VERBATIM COPYING
XXVII-D. 3. COPYING IN QUANTITY
XXVII-E. 4. MODIFICATIONS
XXVII-F. 5. COMBINING DOCUMENTS
XXVII-G. 6. COLLECTIONS OF DOCUMENTS
XXVII-H. 7. AGGREGATION WITH INDEPENDENT WORKS
XXVII-I. 8. TRANSLATION
XXVII-J. 9. TERMINATION
XXVII-K. 10. FUTURE REVISIONS OF THIS LICENSE
XXVII-L. How to use this License for your documents

XXVIII. GNU General Public License
XXVIII-A. 0. Preamble
XXVIII-B. 1. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
XXVIII-C. 2. How to Apply These Terms to Your New Programs

XXIX. Example scripts code-base
XXIX-A. Example rc.firewall script
XXIX-B. Example rc.DMZ.firewall script
XXIX-C. Example rc.UTIN.firewall script
XXIX-D. Example rc.DHCP.firewall script
XXIX-E. Example rc.flush-iptables script
XXIX-F. Example rc.test-iptables script